Экономика кибервойн безвозвратно изменилась. Благодаря генеративному ИИ стоимость превращения уязвимости в готовый эксплойт упала до ничтожных значений — меньше доллара за облачное время. Согласно данным Anthropic и исследователей проекта Glasswing, сроки разработки атак сократились с изнурительных месяцев ручного труда до считанных минут машинного вывода. Когда барьером для входа в сферу сложных взломов становится цена чашки кофе, старая модель «безопасности через неясность» превращается из бесполезной в опасную.
Anthropic пытается развернуть эту асимметрию в обратную сторону. Компания сообщила, что их модель Claude Mythos уже на этапе предварительного тестирования превентивно выявила более тысячи уязвимостей нулевого дня во всех основных операционных системах и браузерах. Координируя раскрытие данных и выпуск исправлений до того, как злоумышленники успеют среагировать, разработчики пытаются поставить защиту на промышленные рельсы. Это напоминает сдвиг десятилетней давности, когда инструменты вроде American Fuzzy Lop заставили Google создать систему OSS-Fuzz для непрерывного аудита. Однако есть нюанс: найти баг с помощью ИИ-запроса не стоит почти ничего, в то время как его устранение все еще требует дорогостоящего участия человека.
Как справедливо отмечается в анализе IEEE Spectrum, стоимость эксплуатации уязвимостей стремится к нулю, но стоимость исправления остается стабильно высокой. Это создает опасное «бутылочное горлышко» для небольших команд, поддерживающих критическую опенсорс-инфраструктуру. Возьмем библиотеку Log4j: она остается легкой мишенью для масштабного ИИ-аудита именно потому, что у волонтеров нет ресурсов для обработки лавины автоматически сгенерированных отчетов об ошибках. Если модель находит изъян за секунды, а человеку требуется три дня на верификацию патча, атакующий побеждает по умолчанию.
Бизнес-лидерам пора осознать: ручной аудит безопасности стал пережитком прошлого. Поскольку большие языковые модели сокращают окно между обнаружением бага и созданием рабочего эксплойта с недель до часов, ваша защита должна быть такой же автономной, как и атака. Если техническая команда еще не внедрила ИИ-инструменты для автоматического исправления кода, она буквально выходит с ножом против дрона. В новой реальности владение системами автономной корректировки кода — это не роскошь, а единственный способ не стать дешевой строчкой в статистике взломов.